要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 > 设备门户管理 > 阻止列表门户、客户端调配门户、BYOD 门户、MDM 门户或我的设备门户 > 创建、编辑或复制 > 门户设置和自定义。

• 门户名称 (Portal Name)：输入用于访问此门户的唯一门户名称。请勿将此门户名称用于任何其他发起人门户、访客门户或非访客门户，如阻止列表门户、自带设备 (BYOD) 门户、客户端调配门户、移动设备管理 (MDM) 门户或我的设备门户。

  此名称显示在用于重定向选择的授权配置文件门户选择中。它应用于门户列表，以便在其他门户中轻松识别。

• 描述 (Description)：可选。

• 门户测试 URL (Portal test URL)：点击保存 (Save) 后，系统生成的 URL 会显示为链接。使用此连接来测试门户。

  点击该链接可打开新的浏览器标签页，其中显示此门户的 URL。必须打开具有策略服务的策略服务节点 (PSN)。如果禁用策略服务，则 PSN 仅显示管理员门户。

  注	测试门户不支持 RADIUS 会话，因此您将无法看到所有门户的完整门户流程。BYOD 和客户端调配是取决于 RADIUS 会话的门户的示例。例如，重定向到外部 URL 时不起作用。如果有多个 PSN，思科 ISE 会选择第一个活动 PSN。

• 语言文件 (Language File)：默认情况下，每个门户类型支持 15 种语言，这些语言可作为在单个压缩语言文件中捆绑在一起的单独属性文件使用。导出或导入要用于门户的压缩语言文件。压缩语言文件包含可用于显示门户的文本的所有单独语言文件。

  语言文件包含到特定浏览器区域设置的映射，以及该语言下整个门户的所有字符串设置。单个语言文件包含所有受支持的语言，因此它可轻松用于实现翻译和本地化目的。

  如果您更改一种语言的浏览器区域设置，则更改会应用于所有其他最终用户 Web 门户。例如，如果在热点访客门户中将 French.properties 浏览器区域设置从 fr,fr-fr,fr-ca 更改为 fr,fr-fr，则更改还会应用于我的设备门户。

  在门户页面自定义 (Portal Page Customizations) 选项卡中自定义任何文本时，系统都会显示警报图标。警报消息会提醒您在自定义门户时对一种语言所做的任何更改必须同时添加到所有受支持的语言属性文件。您可以使用下拉列表选项手动关闭警报图标；或者它会在您导入更新后的压缩语言文件后自动关闭。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 自带设备门户或 MDM 门户 (BYOD Portals or MDM Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 门户设置 (Portal Settings)。

配置这些设置以定义门户页面操作。

• HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（阻止列表门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

  如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

  仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

  分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

  • 有效的组合包括（以发起人门户为例）：

    • 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。

    • 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。

    • 发起人门户：端口 8444，接口 1，证书组 A 和阻止列表门户：端口 8444，接口 0，证书组 B。

  • 无效组合包括：

    • 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。

    • 发起人门户：端口 8444，接口 0，证书标签 A 和阻止列表门户：端口 8444，接口 0，证书组 A。

  注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

• 允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

  这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。

  • 以太网接口必须使用不同子网上的 IP 地址。

  • 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。

  • 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。

  • 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。

  • 如果仅选择绑定 NIC，则当 PSN 尝试配置门户时，首先会尝试配置绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 记录错误并退出。PSN 不会尝试在物理接口上启动门户。

  • 若要配置两个单独的 NIC 以提供高可用性（容错），NIC 组合 (NIC Teaming) 或绑定是一种配置选择。如果其中一个 NIC 失败，属于绑定连接中一部分的另一个 NIC 会继续连接。根据门户设置 (Portal Settings) 配置，为门户选择一个 NIC。如果物理 NIC 和相应的绑定 NIC 均已配置，则当 PSN 尝试配置门户时，首先会尝试连接绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 尝试在物理接口上启动门户。

• 证书组标签 (Certificate Group tag)：选取一个证书组标签，指定要用于门户的 HTTPS 流量的证书。

• 终端身份组 (Endpoint Identity Group)：选择用于跟踪访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认终端身份组，也可以创建更多终端身份组。

  选择用于跟踪员工设备的终端身份组。思科 ISE 提供 RegisteredDevices 终端身份组用作默认值。如果您选择不使用默认终端身份组，也可以创建更多终端身份组。

• 显示语言

  • 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。

  • 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。

  • 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > BYOD 门户 (BYOD Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > BYOD 设置 (BYOD Settings)。

使用这些设置为想要使用个人设备访问您的公司网络的员工启用自带设备 (BYOD) 功能。

注	如果您在身份验证后将一个访客重定向到外部 URL，可能会在解析 URL 地址和重定向会话时有延迟。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 证书调配门户 (Certificate Provisioning Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 门户设置 (Portal Settings)。

• HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（阻止列表门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

  如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

  仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

  分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

  • 有效的组合包括（以发起人门户为例）：

    • 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。

    • 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。

    • 发起人门户：端口 8444，接口 1，证书组 A 和阻止列表门户：端口 8444，接口 0，证书组 B。

  • 无效组合包括：

    • 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。

    • 发起人门户：端口 8444，接口 0，证书标签 A 和阻止列表门户：端口 8444，接口 0，证书组 A。

  注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

• 允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

  这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。

  • 以太网接口必须使用不同子网上的 IP 地址。

  • 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。

  • 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。

  • 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。

  • 如果仅选择绑定 NIC，则当 PSN 尝试配置门户时，首先会尝试配置绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 记录错误并退出。PSN 不会尝试在物理接口上启动门户。

  • 若要配置两个单独的 NIC 以提供高可用性（容错），NIC 组合 (NIC Teaming) 或绑定是一种配置选择。如果其中一个 NIC 失败，属于绑定连接中一部分的另一个 NIC 会继续连接。根据门户设置 (Portal Settings) 配置，为门户选择一个 NIC。如果物理 NIC 和相应的绑定 NIC 均已配置，则当 PSN 尝试配置门户时，首先会尝试连接绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 尝试在物理接口上启动门户。

• 证书组标签 (Certificate Group tag)：选取一个证书组标签，指定要用于门户的 HTTPS 流量的证书。

• 身份验证方法 (Authentication Method)：选择将哪个身份源序列或身份提供程序 (IdP) 用于用户身份验证。身份源序列是验证用户凭证时，按顺序搜索的身份存储区列表。

  思科 ISE 包含适用于发起人门户的默认身份源序列：Sponsor_Portal_Sequence。

  要配置 IdP，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > SAML 身份提供程序 (SAML Id Providers)。

  要配置身份源序列，请依次选择管理 > 身份管理 > 身份源序列。

• 配置授权组 (Configure authorized groups)：选择要为其授予权限以生成证书并将证书移至“已选”(Chosen) 框的用户身份组。

• 完全限定域名 (FQDN) (Fully Qualified Domain Name [FQDN])：为发起人门户或我的设备门户输入至少一个唯一 FQDN 或主机名。例如，可以输入 sponsorportal.yourcompany.com,sponsor，以便在用户将其中任一名称输入到浏览器中时，发起人门户会打开。以逗号分隔名称，但条目之间不包含空格。

  如果更改默认 FQDN，还需执行以下操作：

  • 更新 DNS，以便新 URL 的 FQDN 解析为有效的策略服务节点 (PSN) IP 地址。或者，此地址可能指向提供 PSN 池的负载均衡器虚拟 IP 地址。

  • 要避免由于名称不匹配而出现证书警告消息，请在思科 ISE PSN 的本地服务器证书的使用者备选名称 (SAN) 属性中加入自定义 URL 的 FQDN 或通配符。如果为发起人门户启用了允许 Kerberos SSO (Allow Kerberos SSO) 选项，则必须在门户使用的本地服务器证书的 SAN 属性中包含思科 ISE PSN 的 FQDN 或通配符。

• 空闲超时 (Idle Timeout)：输入思科 ISE 在门户中没有活动的情况下注销用户之前要等待的时间（以分钟为单位）。有效范围为 1 至 30 分钟。

登录页面设置

• 速率限制之前最大失败登录尝试次数 (Maximum Failed Login Attempts Before Rate Limiting)：指定思科 ISE 开始限制该帐户之前从单个浏览器会话尝试登录时的失败次数。这不会导致帐户锁定。限制的速率在限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts When Rate Limiting) 中进行配置。

• 包含 AUP：将可接受使用政策窗口添加到流。可以将 AUP 添加到窗口，或链接到另一个窗口。

可接受使用政策 (AUP) 页面设置

• 包含 AUP (Include an AUP)：在单独的页面上向用户显示公司的网络使用条款和条件。

• 对员工使用不同的 AUP (Use Different AUP for Employees)：仅为员工显示不同的 AUP 及网络使用条款和条件。如果您选择此选项，则不能同时选择跳过面向员工的 AUP (Skip AUP for employees)。

• 对员工跳过 AUP (Skip AUP for Employees)：员工在访问网络之前无需接受 AUP。如果您选择此选项，则不能同时选择使用面向员工的不同 AUP (Use different AUP for employees)。

• 要求接受 (Require Acceptance)：在完全启用用户的帐户之前要求用户接受 AUP。除非用户接受 AUP，否则不会启用登录 (Login) 按钮。如果用户不接受 AUP，将不会获取网络访问权限。

• 要求滚动至 AUP 末尾 (Require Scrolling to End of AUP)：此选项仅在已启用在页面上包含 AUP (Include an AUP on page) 时显示。

  确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 的末尾时，才会激活接受 (Accept) 按钮。配置何时向用户显示 AUP。

  • 仅首次登录时 (On First Login only)：仅在用户首次登录网络或门户时显示 AUP。

  • 每次登录时 (On Every Login)：每次用户登录网络或门户时都显示 AUP。

  • 每 __ 天（从首次登录算起）(Every __ Days [starting at first login])：在用户首次登录网络或门户后定期显示 AUP。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 客户端调配门户 (Client Provisioning Portals) > 创建、编辑、复制或删除 (Create, Edit, Duplicate, or Delete) > 门户行为和流量设置 (Portal Behavior and Flow Settings)。

门户设置

注	在客户端调配门户中，可以定义端口号和证书，以便主机允许您为客户端调配和终端安全评估下载相同的证书。如果门户证书由官方证书颁发机构签名，则不会收到任何安全警告。如果证书是自签证书，您将收到门户和思科 代理 终端安全评估组件二者的同一安全警告。

登录页面设置

• 启用登录 (Enable Login)：选择此复选框可在客户端调配门户中启用登录步骤

• 速率限制之前最大失败登录尝试次数：指定在思科 ISE 开始人为减缓可进行登录尝试的速率（从而防止更多登录尝试）之前，单个浏览器会话的失败登录尝试次数。在 Time between login attempts when rate limiting 中指定了达到此失败登录次数后，前后两次尝试之间的间隔时间。

• 限制速率时登录尝试之间的间隔时间：设置用户在达到速率限制之前最大失败登录尝试次数中定义的登录失败次数后，尝试再次登录之前必须等待的时间长度（以分钟为单位）。

• 包含一个 AUP（在页面上/作为链接）(Include an AUP [on page/as link])：显示公司的网络使用条款和条件，可以是当前为用户显示的页面上的文本，或是一个链接，能够打开包含 AUP 文本的新选项卡或窗口。

• 要求接受 (Require acceptance)：要求用户必须接受 AUP，然后才能访问门户。除非用户接受 AUP，否则不会启用登录 (Login) 按钮。如果用户不接受 AUP，便无法访问该门户。

• 要求滚动至 AUP 的末尾 (Require scrolling to end of AUP)：此选项仅在启用在页面上包含一个 AUP (Include an AUP on page) 时显示。确保用户已完整阅读 AUP。仅在用户已滚动至 AUP 的末尾时，才会激活接受 (Accept) 按钮。

可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy (AUP) Page Settings)

• 包含一个 AUP (Include an AUP)：在单独的页面上向用户显示公司的网络使用条款和条件。

• 要求滚动至 AUP 的末尾 (Require scrolling to end of AUP)：确保用户已完全阅读 AUP。仅在用户已滚动至 AUP 的末尾时，才会激活“接受”(Accept) 按钮。

• 仅在首次登录时 (On first login only)：仅在用户首次登录到网络或门户时显示 AUP。

• 在每次登录时 (On every login)：每次用户登录到网络或门户时都显示 AUP。

• 每 __ 天（从首次登录算起）(Every __ days [starting at first login])：在用户首次登录到网络或门户后定期显示 AUP。

登录后横幅页面设置

包含登录后横幅页面 (Include a Post-Login Banner page)：在用户成功登录后并在向其授予网络访问权限之前显示其他信息。

更改密码设置 (Change Password Settings)

允许内部用户更改其密码 (Allow internal users to change their own passwords)：允许内部用户在登录到客户端调配门户后更改其密码。这仅适用于帐户存储于思科 ISE 数据库中的员工，不适用于帐户存储于外部数据库（例如 Active Directory 或 LDAP）的员工。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > MDM 门户 (MDM Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 员工移动设备管理密码 (Employee Mobile Device Management Settings)。

使用这些设置为使用 MDM 门户的员工启用移动设备管理 (MDM) 功能，定义他们的 AUP 体验。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 我的设备门户 (My Devices Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 门户设置 (Portal Settings)。

• HTTPS 端口 (HTTPS Port)：输入 8000 至 8999 之间的端口值；对于所有默认门户，默认值为 8443（阻止列表门户除外，其端口值为 8444）。如果已使用此范围外的端口值进行升级，则在您修改此窗口之前会遵循这些设置。如果修改此窗口，应更新端口设置以遵守此限制。

  如果向访客门户分配由非访客（例如“我的设备”）门户使用的端口，系统会显示错误消息。

  仅针对安全评估和补救，客户端调配门户还使用 8905 和 8909 端口。否则，它使用分配给访客门户的相同端口。

  分配给同一 HTTPS 端口的门户可以使用同一千兆以太网接口或其他接口。如果它们使用相同的端口和接口组合，则必须使用同一证书组标签。例如：

  • 有效的组合包括（以发起人门户为例）：

    • 发起人门户：端口 8443，接口 0，证书标签 A 和我的设备门户：端口 8443，接口 0，证书组 A。

    • 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：端口 8445，接口 0，证书组 B。

    • 发起人门户：端口 8444，接口 1，证书组 A 和阻止列表门户：端口 8444，接口 0，证书组 B。

  • 无效组合包括：

    • 发起人门户：端口 8443，接口 0，证书组 A 和我的设备门户：8443，接口 0，证书组 B。

    • 发起人门户：端口 8444，接口 0，证书标签 A 和阻止列表门户：端口 8444，接口 0，证书组 A。

  注	我们建议为访客服务使用接口 0，以获得最佳性能。您可以在门户设置 (Portal Settings) 中仅配置接口 0，也可以使用 CLI 命令 ip host 将主机名或 FQDN 映射到接口 0 的 IP 地址。

• 允许的接口 (Allowed interfaces)：选择 PAN 可用来运行门户的 PSN 接口。当 PAN 发送开启门户的请求时，PAN 查找 PSN 上的可用允许端口。您必须使用不同子网上的 IP 地址配置以太网接口。

  这些接口必须在所有 PSN 上都可用，包括已开启策略服务的基于 VM 的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。

  • 以太网接口必须使用不同子网上的 IP 地址。

  • 您此处启用的接口必须在所有 PSN 上可用，包括策略服务打开时基于虚拟机的 PSN。由于其中任何 PSN 都可用于在访客会话的开头重定向，因此要求如此。

  • 门户证书使用者名称/备用使用者名称必须解析为接口 IP 地址。

  • 在思科 ISE CLI 中配置 ip host x.x.x、x yyy.domain.com 以将辅助接口 IP 地址映射到 FQDN，用于匹配证书使用者名称/备用使用者名称。

  • 如果仅选择绑定 NIC，则当 PSN 尝试配置门户时，首先会尝试配置绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 记录错误并退出。PSN 不会尝试在物理接口上启动门户。

  • 若要配置两个单独的 NIC 以提供高可用性（容错），NIC 组合 (NIC Teaming) 或绑定是一种配置选择。如果其中一个 NIC 失败，属于绑定连接中一部分的另一个 NIC 会继续连接。根据门户设置 (Portal Settings) 配置，为门户选择一个 NIC。如果物理 NIC 和相应的绑定 NIC 均已配置，则当 PSN 尝试配置门户时，首先会尝试连接绑定接口。如果不成功，可能是因为 PSN 上没有绑定设置，然后 PSN 尝试在物理接口上启动门户。

• 证书组标签 (Certificate Group tag)：选取一个证书组标签，指定要用于门户的 HTTPS 流量的证书。

• 完全限定域名 (FQDN) (Fully Qualified Domain Name [FQDN])：为发起人门户或我的设备门户输入至少一个唯一 FQDN 或主机名。例如，可以输入 sponsorportal.yourcompany.com,sponsor，以便在用户将其中任一名称输入到浏览器中时，发起人门户会打开。以逗号分隔名称，但条目之间不包含空格。

  如果更改默认 FQDN，还需执行以下操作：

  • 更新 DNS，以便新 URL 的 FQDN 解析为有效的策略服务节点 (PSN) IP 地址。或者，此地址可能指向提供 PSN 池的负载均衡器虚拟 IP 地址。

  • 要避免由于名称不匹配而出现证书警告消息，请在思科 ISE PSN 的本地服务器证书的使用者备选名称 (SAN) 属性中加入自定义 URL 的 FQDN 或通配符。如果为发起人门户启用了允许 Kerberos SSO (Allow Kerberos SSO) 选项，则必须在门户使用的本地服务器证书的 SAN 属性中包含思科 ISE PSN 的 FQDN 或通配符。

• 身份验证方法 (Authentication Method)：选择将哪个身份源序列或身份提供程序 (IdP) 用于用户身份验证。身份源序列是验证用户凭证时，按顺序搜索的身份存储区列表。

  思科 ISE 包含适用于发起人门户的默认身份源序列：Sponsor_Portal_Sequence。

  要配置 IdP，请依次选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > SAML 身份提供程序 (SAML Id Providers)。

  要配置身份源序列，请依次选择管理 > 身份管理 > 身份源序列。

• 终端身份组 (Endpoint Identity Group)：选择用于跟踪访客设备的终端身份组。思科 ISE 提供 GuestEndpoints 终端身份组用作默认值。如果您选择不使用默认终端身份组，也可以创建更多终端身份组。

  选择用于跟踪员工设备的终端身份组。思科 ISE 提供 RegisteredDevices 终端身份组用作默认值。如果您选择不使用默认终端身份组，也可以创建更多终端身份组。

• 当此身份组中的终端达到 __ 天时将其清除 (Purge Endpoints in this Identity Group when they Reach __ Days)：指定从思科 ISE 数据库中清除设备之前应经历的天数。每天都会进行清除，并且清除活动与整体清除时间同步。更改全局应用于此终端身份组。

  如果根据其他策略条件对终端清除策略进行更改，则此设置不可再使用。

• 空闲超时 (Idle Timeout)：输入思科 ISE 在门户中没有活动的情况下注销用户之前要等待的时间（以分钟为单位）。有效范围为 1 至 30 分钟。

• 显示语言

  • 使用浏览器区域设置 (Use Browser Locale)：使用在客户端浏览器的区域设置中指定的语言作为门户的显示语言。如果思科 ISE 不支持浏览器区域设置的语言，则使用回退语言 (Fallback Language) 作为语言门户。

  • 回退语言 (Fallback Language)：选择当无法从浏览器区域设置获取语言或思科 ISE 不支持浏览器区域设置语言时使用的语言。

  • 始终使用 (Always Use)：选择要用于门户的显示语言。此设置会覆盖用户浏览器区域 (User Browser Locale) 选项。

• 速率限制之前最大失败登录尝试次数 (Maximum Failed Login Attempts Before Rate Limiting)：指定思科 ISE 开始限制该帐户之前从单个浏览器会话尝试登录时的失败次数。这不会导致帐户锁定。限制的速率在限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts When Rate Limiting) 中进行配置。

• 速率限制之前最大失败登录尝试次数 (Maximum Failed Login Attempts Before Rate Limiting)：指定思科 ISE 开始限制该帐户之前从单个浏览器会话尝试登录时的失败次数。这不会导致帐户锁定。限制的速率在限制速率时登录尝试之间的间隔时间 (Time Between Login Attempts When Rate Limiting) 中进行配置。

• 包含 AUP：将可接受使用政策窗口添加到流。可以将 AUP 添加到窗口，或链接到另一个窗口。

要查看此处窗口，请点击菜单 图标 ()，然后选择 工作中心 (Work Centers) > 管理 (Administration) > 设备门户管理 (Device Portal Management) > 我的设备门户 (My Devices Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流设置 (Portal Behavior and Flow Settings) > 可接受使用政策 (AUP) 页面设置 (Acceptable Use Policy (AUP) Page Settings)。

使用这些设置可定义用户（适用情况下的访客、发起人或员工）的 AUP 体验。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 我的设备门户 (My Devices Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 登录后横幅页面设置 (Post-Login Banner Page Settings)。

使用此设置可在用户（适用情况下的访客、发起人或员工）成功登录后向其通知其他信息。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 我的设备门户 (My Devices Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流量设置 (Portal Behavior and Flow Settings) > 员工更改密码设置 (Employee Change Password Settings)。这些设置用于为使用 My Devices 门户的员工定义密码要求。

要设置员工密码策略，请依次选择 Administration > Identity Management > Settings > Username Password Policy。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 我的设备门户 (My Devices Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户页面自定义 (Portal Page Customization) > 管理设备 (Manage Devices)。

在页面定制 (Page Customizations) 下，您可以定制“我的设备”(My Devices) 门户的管理帐户 (Manage Accounts) 选项卡上显示的消息、标题、内容、说明和字段与按钮标签。

在设置 (Settings) 下，您可以指定使用此门户的员工可以在其已注册的个人设备上执行的操作。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > 我的设备门户 (My Devices Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户页面自定义 (Portal Page Customization) > 添加设备、编辑设备或定位设备 (Add Devices, Edit Devices or Locate Devices)。

在 Page Customizations 下，您可以自定义显示在我的设备门户的添加、编辑和定位选项卡中的消息、标题、内容、说明以及字段和按钮标签。

要查看此处窗口，请点击菜单 图标 ()，然后选择 管理 (Administration) > 设备门户管理 (Device Portal Management) > BYOD 门户 (BYOD Portals)、客户端调配门户 (Client Provisioning Portals)、MDM 门户 (MDM Portals) 或我的设备门户 (My Devices Portals) > 创建、编辑或复制 (Create, Edit or Duplicate) > 门户行为和流程设置 (Portal Behavior and Flow Settings) > 支持信息页面设置 (Support Information Page Settings)。

使用这些设置可显示服务中心可用于对用户（适用情况下的访客、发起人或员工）遇到的访问问题进行故障排除的信息。